Polskie serwisy, którym lepiej nie powierzać swoich tajnych haseł
W tym artykule opisujemy polskie serwisy, które nie przechowują Waszych haseł w bezpieczny sposób, umożliwiając włamywaczom ich poznanie. Będziemy je piętnować tak długo, aż w końcu zmienią swoje praktyki i Wasze hasła będą bezpieczniejsze.
Uwaga: czytasz wersję artykułu z roku 2012. Polecamy aktualną listę serwisów z maja 2013.
Poniżej znajdziecie dane 31 polskich serwisów, które ciągle potrafią wysłać swoim użytkownikom ich zapomniane hasła. Emailem. W jawnej formie. I mamy na to dowody.
1. plfoto.com
„Największa internetowa polska galeria fotograficzna. Znajdziesz tu ponad 2 mln zdjęć i 188 tysięcy zarejestrowanych użytkowników.” I 188 tysięcy haseł (wg zapewnień plfoto.com zaszyfrowanych w sposób odwracalny).
Aktualizacja: serwis obiecał zmienić stosowane mechanizmy zabezpieczeń.
2. intercity.pl
„Mam na imię Rafał, jestem zawiadowcą tej strony. Już teraz życzę Ci udanej podróży. Jeśli mógłbym w niej jakkolwiek pomóc, jestem do Twojej dyspozycji”. Rafale, czy możesz zahashować moje hasło?
3. pizzadominium.pl
4. trader.pl/domiporta.pl/mieszkanie.pl
„Jesteśmy jednym z kluczowych dostawców tematycznych serwisów ogłoszeniowych oraz wydawcą gazet ogłoszeniowych w kraju.” Dostarczamy także hasła użytkowników.
5. pasazer.com
„Z nami odlecisz! Tu zaczyna się Twoja podróż.” A kończy bezpieczeństwo haseł.
6. wiadomości24.pl
7. ticketpro.pl
„Twój bilet do świata rozrywki”. Niezabezpieczone hasło to niezła rozrywka.
8. snip.pl
„Snip to internetowy snajper aukcyjny. Pomoże Ci wygrać każdą licytację w Allegro i we wszystkich serwisach eBay, automatycznie, na kilka sekund przed ich zakończeniem”. Złodzieje kont Allegro będą zachwyceni!
9. racjonalista.pl
10. epuls.pl
„Epuls to najlepsza na świecie internetowa społeczność młodych.” A jak ktoś ma 12 lat, to co go obchodzi bezpieczeństwo hasła.
11. nbportal.pl
„NBPortal.pl oferuje w atrakcyjnej formie wiedzę ekonomiczną zgodnie z potrzebami i oczekiwaniami młodzieży gimnazjalnej, licealnej, studentów i nauczycieli”. Wiedzy z zakresu bezpieczeństwa komputerowego jeszcze nie opanowaliśmy.
12. biegnijwarszawo.pl
„Wychodząc naprzeciw oczekiwaniom wielu z Was, postanowiliśmy uruchomić rejestrację do Biegnij Warszawo 2012 od razu po zakończeniu tegorocznej edycji imprezy„. Wyszliśmy tak daleko, że nawet nie hashujemy haseł, by było szybciej.
13. narzedzia.pl
14. monitoring.webhostingtalk.pl
15.renault.pl
Zgłosił: jabong
16. eurosportplayer.pl
Zgłosił: Hubert
17. carlsberg.pl
Zgłosił: Jan
18. alterart.pl
Zgłosił: damian
19. gazetagoleniowska.com
Zgłosił: Brutus
20. margonem.pl
Zgłosił: mohin
21. palmtopy.pl
Zgłosił: Darek
22. rejestracjadomen.pl
Zgłosił: sowiq
23. ruszajwpolske.pl
Zgłosił: radmen
24. gamepad.pl
Zgłosił: tigitall
25. 3kropki.pl
Aktualizacja 2017-02-23: 22 lutego otrzymaliśmy informację, iż metoda obsługi haseł została poprawiona i nie są one już przesyłane.
Zgłosił: Wiktor
26. zagraj.pl
Zgłosiła: Anna
27. zbiornik.com
Zgłosił: soulstorm
28. abilet.pl
Zgłosiła: Anna
29. officedepot.pl
Zgłosił: Bartek
30. browamator.pl
Zgłosił: Minder
31. podatki.biz
Zgłosił: Mateusz
Czemu nie ma na liście Allegro i Gadu Gadu?
Oba serwisy same przyznały się do trzymania haseł użytkowników w odwracalnej lub jawnej formie, jednak nie wysyłają ich już emailem (Gadu Gadu zaprzestało tego całkiem niedawno). Powyżej znajdują się tylko serwisy, które potrafią wysłać użytkownikowi jego hasło w jawnej formie.
Czy te hasła są zapisane otwartym tekstem w bazie?
Prawdopodobnie tak. Istnieją jednak inne możliwości, na przykład hasła mogą być szyfrowane algorytmem odwracalnym (symetrycznym lub asymetrycznym). Włamywacz, mający kontrolę nad serwerem, może poznać taki klucz (musi być on gdzieś przechowywany przez serwis) i odszyfrować Wasze hasła. Jeśli serwis może je Wam wysłać, to włamywacz może je poznać.
Serwis wysłał mi hasło zaraz po rejestracji, co zrobić?
Istnieje taka możliwość, że Wasze hasło, podane przy rejestracji, wysłane do Was emailem w jawnej formie, w bazie jest przechowywane w bezpiecznej formie hashu hasła. Tak działają np. niektóre fora internetowe. Hasło, podane przy rejestracji, jest do Was wysyłane przed jego zabezpieczeniem przez hashowanie. Zawsze możecie poprosić o wysłanie hasła (przez opcję „przypomnienie hasła”) by zobaczyć, czy otrzymacie je jawnym tekstem. Jeśli tak się stanie – dajcie nam znać.
Serwis jest na Waszej liście, co robić?
Używać tam hasła, którego Wam nie szkoda. Najlepiej używać tego hasła tylko w tym serwisie – jeśli wycieknie do internetu, Wasze straty będą ograniczone tylko do tego jednego konta. Można też próbować apelować do administratorów serwisu, by zmienili sposób przechowywania haseł – a nuż się uda. Albo poczekać na włamanie z publicznym wyciekiem danych – wtedy szybko zmienią.
Jak bezpiecznie przechowywać hasła?
Podstawową metodą jest stosowanie bezpiecznej, a więc złożonej obliczeniowo, funkcji hashującej. W dzisiejszych czasach samo MD5 lub SHA1 bez soli nie wystarcza. Stosować długą, losową sól (np. 32 znaki), inną dla każdego hasła a najlepiej używać KDF (key derivation function), takich jak PBKDF2, bcrypt czy scrypt.
Podobne wpisy
- Zapraszamy na studia podyplomowe z cyberbezpieczeństwa w Krakowie
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- 25 miejsc, gdzie warto czytać po polsku o bezpieczeństwie
- Nawet najlepszy administrator nie poradzi sobie bez odpowiednich narzędzi
- Podstawy Bezpieczeństwa: Prywatność i bezpieczeństwo na Instagramie
Dopiszcie jeszcze linkme.pl. Administracja w odpowiedzi na zapytanie dlaczego przechowują hasło w plaintext odpisała mi, że „taki był zamysł serwisu”. Dodała też, że do bazy mają dostęp tylko 2 osoby i nie stanowi to problemu. Obiecali jednak poprawę.
Wysyłają już link do resetu hasła. Widocznie podziałało :)
viasms.pl
Czy możesz podesłać zrzut ekranu z próby odzyskania hasła? Nie chcemy brać pożyczki, żeby zweryfikować :)
Również http://www.palmtopy.pl/ gdy zapomni się hasła, śle je otwartym tekstem na maila… Miałem nieprzyjemność się o tym przekonać
Dzięki, dopisane.
Czy na zrzutach ekranu jest koszmail? Z tego, co wiem, niektóre serwisy (jak dotąd trafiałem na zagraniczne) nie pozwalają zarejestrować konta, jeśli e-mail jest u tego „dostawcy” :)
Zdarza się, ale rzadko.
To ja dodam od siebie lubie.to.
Nie widzę możliwości rejestracji, logowanie tylko kontem Facebooka.
CentrumRowerowe.pl – najwiekszy elektroniczny sklep rowerowy w Polsce – niesamowity obrot towarem, a system internetowy wykonany przez amatora.
Posiadam bogata korespondencje elektroniczna z supportem sklepu, a potem z samym wykonawca, ktory okazal sie byc swiadomym 'bezsensownosci utajniania hasel bo przeciez potem nie da sie tego odzyskac kiedy uzytkownik chce’. Co ciekawe nie ma tez opcji zmiany hasla, a moje maile o usuniecie konta sa ignorowane od 2 lat!
(przepraszam za brak polskich znakow, ale moj system ich nie posiada)
Już generują nowe hasło przy próbie odzyskania starego. Podziałało :)
kurde a już miałem pisać o tym, że hasła mają otwarte ;) a co do usunięcia twojego konta z sklepu, jak by nie patrzeć sklep jest Administratorem Danych i przetwarza dane osobowe i powinieneś mieć możliwość ich aktualizowania, i RÓWNIEŻ usunięcia, jeśli nadal tego nie zrobili to jak dla mnie sprawa podpada pod zgłoszenie sprawy do GIODO
wizzair.com
Serwis węgierski, ale sporo z nas z niego korzysta. Widzę, że szata graficzna im się ostatnio zmieniła. Może też poprawili coś z kwestii haseł, ale nie sądzę. Jeszcze niedawno przysyłali mi przypomnienie plain textem
Poprawili, generują nowe.
nets.pl
Mogę poprosić o zrzut ekranu próby odzyskania hasła? Bez zakupu usług trudno przetestować.
Fajna lista, ale nikomu nic nie pomoże jeśli nie będzie znana (czemu w moim małym i skromnym zakresiku postaram się zaradzić). Sugerowałbym też podesłać maila każdemu serwisowi pt. Dotarły do nas informacje, że trzymacie państwo otwartym tekstem (znowu, nic się nie zmieni, jeśli się tego komuś nie wytknie). Jeśli przypadkiem wyślecie takiego maila, to zadbajcie o słownictwo na stronie (więcej – być może, prawdopodobnie, itp).
Co do tekstu „jeśli serwis może je wysłać, to właymwacz może je poznać” – ciut za duży ten kwantyfikator – widziałem rozwiązania, gdzie serwis może hasło wysłać, ale włamywacz musiał by przełamać bezpieczeństwo dwóch systemów, żeby się dostać do klucza 'deszyfrującego’.
http://www.rejestracjadomen.pl – to samo. Najlepsze jest to, że po zwróceniu przeze mnie uwagi odpisali, że „hasła klientów przechowywane są w bezpieczny sposób”. Jeszcze tego samego dnia zmieniłem firmę.
Potwierdzone, dodane, dziękujemy.
jakiś czas temu (tj. kilka lat temu) az.pl przechowywało hasła otwartym tekstem, skacząc po ustawieniach w panelu udało mi się zobaczyć swoje hasło, napisane otwartym tekstem…
http://goleniowska.com, tez plain text
Potwierdzone, dodane, dzięki!
http://ruszajwpolske.pl/
Swego czasu otrzymałem swoje hasło na maila. Kontaktowałem się z adminami. Twierdzą, że hasła są bezpieczne, bo „szyfrowane dwoma kluczami” (czyli jest to proces odwracalny).
Zgadza się, dopisane, dzięki!
sklep ewa-michalak.pl
sklep fionka.pl
komputronik.pl (nie wiem, czy nadal ;)
swiatkotow.pl
wydawnictwo.oxford.pl
kiedy logowałam się do tych serwisów, to wysyłali mi moje hasło otwartym tekstem
„kiedy logowałam się do tych serwisów, to wysyłali mi moje hasło otwartym tekstem”
to nic nie znaczy, hasło może zostać wysłane zanim zostanie zaszyfrowane i dodane do bazy
Potwierdzone ewa-michalak.pl, dzięki!
fionka.pl – wysyła link do resetu hasła.
komputronik.pl – generuje nowe hasło.
swiatkotow.pl – generuje nowe hasło.
wydawnictwo.oxford.pl – generuje nowe hasło.
http://www.alterart.pl/shop/sklep.php
Potwierdzone, dzięki!
http://www.renault.pl/my-renault/ taka firma, a security brak ;)
Niezłe trafienie, dzięki!
Mam kilka serwisów, przez które na własnej skórze dowiedziałem się o niekodowaniu przez nich haseł ;)
EduQrsor.pl – screenshot: http://screenshooter.net/data/uploads/fj/kd/ojsu.png
Ogame.pl – http://screenshooter.net/data/uploads/wy/oc/esyu.png
Loteriada.pl – http://screenshooter.net/data/uploads/ir/jb/sgmw.png
Ugu.pl – http://screenshooter.net/data/uploads/ru/nk/jvih.png
KontaGier.pl – http://screenshooter.net/data/uploads/wl/qo/ixje.png
Pozdrawiam,
Jakub.
Linki „nie do końca działają”, poza tym wygląda na to, że te serwisy wysyłają hasło tylko w momencie rejestracji, a nie próby odzyskania hasła.
Skąd wiadomo, że faktycznie przechowują hasła otwartym tekstem? Może zamiast je hashować zwyczajnie je szyfrują, a potem deszyfrują na żądanie?
Słuszna uwaga, poprawione.
http://margonem.pl również ;)
Dodane, dzięki!
Potencjalnie, serwisy, ktore wymagaja hasla o predefiniowanych parametrach, przechowuja hasla w „czystym tekscie”. Lepiej miec to na uwadze.
strona carlsberga również przypomina hasło w ten sposób
Dopisane do listy, dzięki!
Dziękuję za zwrócenie uwagi. Działamy.
LinkMe.pl – Duży system wymiany linków. Trzymają hasła w czystym tekście.
eurosportplayer.pl
Dopisane do spisu, dzięki!
http://www.infinitebattle.com -> w sumie za każdym razem generują nowe wiec jest ok (chyba)?
Jeśli generują nowe, to prawdopodobnie problem nie występuje.
gadu-gadu, allegro :)
Nie wysyłają hasła emailem :)
gadu wysyla, a przynajmniej robilo tak jakis czas temu. Sprobuj napisac do nich ze nie pamietasz hasla do swojego numeru, pozniej dostaniesz dziesiec pytan na ktore musisz odpowiedziec. Jak zweryfikuja to odesla ci swoje haslo. true.
A jeśli takie hasło w bazie jest w jakiś sposób szyfrowane i przy wysyłaniu maila odkodowywane? Czym się więc różni wysłanie jawnego hasła od np. przysłania linku do resetu hasła, który nie traci na ważności? Przechwycenie takiego linku jest równie proste jak przechwycenie przesłanego hasła.
Link do resetu hasła nie pozwoli na zalogowanie się tym samym hasłem np. na skrzynkę pocztową użytkownika.
hbogo.pl – Serwis VOD HBO
Czy mozemy poprosić o zrzut ekranu próby ozdyskania hasła? Niestety usługa wymaga zakupu przed przetestowaniem mechanizmów bezpieczeństwa :)
Całe szczęście ze to nie banki, mam konto na plfoto i nie przejmuje sie tym że ktos pozna moje hasło, zdjecie mi skasuje czy doda własne?
O ile nie korzystasz z tego samego hasła w innych miejscach, to nie ma problemu.
od siebie dodam gamepad.pl ostatnio próbowałem odzyskać tam hasło i się mocno zdziwiłem, że wysłali mi je na maila.
Dzięki, dodane.
andegrand.pl
Nam wysłali nowe hasło, więc nie potwierdzamy.
Dodam jeszcze drumcenter.pl. Nie dość że hasła trzymane w jawnym tekście to jeszcze wysyłane w kopercie razem z fakturą. Tragedia.
Trochę na lista nieaktualna, z tego co widzę racjonalista.pl już nie przypomina haseł tylko resetuje.
Poza tym, po samym mechanizmie resetowania nie możecie wiedzieć jak są zabezpieczone, dużo ważniejsza jest np. ochrona emaila i nazwiska.
Dzień dobry, chciałem poinformować, że zmieniliśmy system zamówień online. Proszę o sprawdzenie i usunięcie wpisu na temat bezpiecznego hasła.
pozdrawiam serdecznie Arkadiusz Kośliński
Monitoring.webhostingtalk.pl jest zewnętrzną usługą, do czasu poprawy została wyłączona (zmieniony wpis A w DNS, co troszkę potrwa).
loteriada.pl
Gdzie na loteriada.pl jest funkcja przypominania hasła?
safegroup.pl
phpbb chyba nie wysyła starego hasła.
SafeGroup od zawsze trzyma hasła hashowane, tym bardziej, że forum jest na silniku phpbb3, a witryna na WordPressie.
korim.pl też wysyła hasło mailem po rejestracji
Ale nie wysyła przypomnienia hasła.
A to różnica czy wysyłają otwartym tekstem stare hasło czy otwartym tekstem wysyłają nowo wygenerowane?
Krajowy Rejestr Długów Biuro Informacji Gospodarczej SA
http://www.krd.pl
KRD generuje obecnie nowe hasło.
Do bazy warto dodac CBA.PL. Hosting niby dziala dosc bezproblemowo [pomijajac nieaktualne oprogramowanie, wpychajace sie wszedzie reklamy i stare wersje SQL – a wiec zaproszenie do wyhaczania], jednakze same hasla dostaje sie w razie prosby w czystym tekscie.
Nam cba.pl wygenerowało nowe hasło, więc nie potwierdzamy
Po kliknięciu w Przypomnienie hasła, przysłali je plain-textem na email.
kurtmedia.pl dodane, kolejny sklep IAI
Office Depot (www.officedepot.pl) :-)
Świetny strzał, dodane! Na dokładkę ograniczają hasło do 10 znaków i zamieniają wszystkie litery na duże :)
To i ja dopiszę jedną sztukę.
https://bilet.intercity.pl/irez/
Przypomnienie hasła przysyła je do nas mailem w czystym tekście.. Wstyd.
Mają pozycję nr 2 od początku istnienia listy :)
I niestety nadal się nic w tej kwestii nie zmieniło :(
browamator.pl – sklep dla piwowarów domowych
Potwierdzone, dodane.
Akcja szalenie ważna, choć ten post można by wręcz nazwać „strzelnica” – crackerzy dostają na tacy listę następnych celów :P Ludzie, zmieniajcie hasła!
http://www.beateuhse.pl – po rejestracji oraz zmianie hasła dostajemy e-maila z loginem i hasłem
Kolejny sklep na silniku IAI-Shop, potwierdzone.
cinkciarz.pl
Witam,
> http://zaufanatrzeciastrona.pl/post/polskie-serwisy-ktorym-lepiej-nie-powierzac-swoich-tajnych-hasel/
>
> Wy chyba też wysyłacie tak hasła?
Uprzejmie informujemy, że Cinkciarz.pl nie przechowuje haseł zaszyfrowanych.
Przy opcji przypomnienia hasła Cinkciarz.pl wysyła tylko hasło tymczasowe po to, aby Użytkownik zalogował się i zmienił hasło na takie, które zapamięta.
—
Pozdrawiam,
Sylwia Kubicka
e-mail: [email protected]
tel.: 885 050 504
Zobaczcie jak robi to Generalny Inspektor Ochrony Danych Osobowych w portalu e-GIODO :)
http://www.facebook.com/Barometrbiznesu#!/Barometrbiznesu
http://www.adecco.pl
Nam Adecco wygenerowało nowe hasło, nie potwierdzamy.
http://www.sms.pl
Nie dość, że otwartym tekstem, to obcinają hasła do 10 znaków przy rejestracji…
http://sportbazar.pl – bezpieczne zakupy
„Ta wiadomość została wygenerowana automatycznie. Nie odpowiadaj na tą wiadomość.
Jeżeli chcesz się z nami skontaktować użyj formularza w zakładce Kontakt http://www.streetcom.pl/kontakt
Drogi(a) ,
Dla tego konta zażądano przypomnienia hasła, umożliwiającego dostęp do witryny internetowej Streetcom Polska Sp. z o. o..
Następnym razem proszę zalogować się, wykorzystując następujące informacje:
Adres witryny: http://www.streetcom.pl
Nazwa użytkownika: mój login
Hasło: hasło otwartym tekstem
Kod weryfikacji: jakieś cyferki
Użytkownik autoryzowany (true=TAK, false=NIE): któraś z opcji
Pozdrowienia,
Streetcom Polska Sp. z o. o.
*UWAGA: Jeśli nie żądano przypomnienia hasła (zrobił to ktoś inny), proszę zignorować i zniszczyć tę wiadomość.”
niszczą, haha
http://www.decathlon.pl uruchomił możliwość zakupów online, szkoda tylko, że prawdopodobnie nie hashuje haseł swoich użytkowników. Po rejestracji otrzymujemy maila z potwierdzeniem oraz hasłem zapisanym jawnym tekstem.
LekkiKoszyk.pl, przesyłają hasło emailem.
Przy zmianie hasła wysyłają link. Nie potwierdzamy.
https://safegroup.pl – nie ma szyfrowanych haseł , przesyła je w sposób jawny cały czas.
Sprawdzone kilka dni temu i Imie – jesteś w błędzie i podajesz złe informacje.
http://imgur.com/jtdBdaB
Safegroup.pl nie wysyła Twojego osobistego hasła, ustawionego przez Ciebie, tylko hasło wygenerowane losowo – i ta praktyka jest akceptowalna, ponieważ najczęściej (i tak jest w tym wypadku) oznacza, że hasła w bazie są haszowane.
Aktualizacja: Jak się okazuje, chodziło o email wysyłany przy rejestracji nowego konta – co nie stanowi żadnej przesłanki co do nieprawidłowości – tak po prostu działają domyślnie niektóre silniku forum, przechowujące potem hasła w bezpiecznej formie.
Właśnie http://www.safegroup.pl wysyła dokładnie takie samo hasło jakie ustaliłem przy rejestracji i nic nie zmienia w tym temacie i nie wysyła żadnego losowo. – najpierw to sprawdziłem zanim dodałem takie info tutaj – robisz ze mnie idiotę. A co do bazy – zawsze są haszowane w niej nawet jeśli dostaniesz na skrzynkę hasło jawnie przesłane i to nie ma nic do rzeczy. Proszę nie wciskać kitu Adam a sprawdzić dokładnie a nie udawać że nic nie ma na rzeczy , forum o bezpieczeństwie a tu takie kwiatki – nieładnie, i jeszcze kłamiesz na dodatek nie wiem dlaczego i po co ? Jesteś tam w administracji? To powiadom o błędzie.
Więc proszę umieścić ten serwis jako niezaufany.
Nie, nie jestem tam w administracji.
Przeczytaj w takim razie poniższy akapit, który specjalnie dla Ciebie przeklejam z artykułu z góry.
===
Serwis wysłał mi hasło zaraz po rejestracji, co zrobić?
Istnieje taka możliwość, że Wasze hasło, podane przy rejestracji, wysłane do Was emailem w jawnej formie, w bazie jest przechowywane w bezpiecznej formie hashu hasła. Tak działają np. niektóre fora internetowe. Hasło, podane przy rejestracji, jest do Was wysyłane przed jego zabezpieczeniem przez hashowanie. Zawsze możecie poprosić o wysłanie hasła (przez opcję „przypomnienie hasła”) by zobaczyć, czy otrzymacie je jawnym tekstem. Jeśli tak się stanie – dajcie nam znać.
===
Forum safegroup oparte jest na silniku, który haszuje hasła w bazie. A że wysyła hasło przy rejestracji – nie stoi to na przeszkodzie jego haszowania. W tym artykule wymieniamy tylko serwisy, które przechowują hasła w bazie w formie odwracalnej i umożliwiają ich odzyskanie użytkownikowi. Jeśli możesz (NIE PRZY REJESTRACJI) odzyskać swoje hasło z forum, to daj znać.
STAMAR Poznań
http://www.stamarpoznan.pl/
Dostałem własne hasło cleartextem po rejestracji.
firma hostingowa (!!!) Adweb (nadawca: [email protected]) wysłała mi dzisiaj mejla następującej treści:
Twoje hasło dla konta 'mojlogin’ to 'mojehaslo’
Pamietaj, ze przesylanie hasel poczta elektroniczna nie jest w pelni bezpieczne. Zaloguj sie do panelu administracyjnego i zmien je jak najszybciej. Lepiej dmuchac na zimne. Panel jest dostępny pod adresem: https://panel.2be.pl/beeadmin/ W razie problemow z logowaniem, prosimy o kontakt z naszym administratorem pod adresem [email protected].
Brak mi parlamentarnych słów na takie praktyki. Bezczelne wymuszanie zmiany hasła przez wysłanie go otwartym tekstem razem z loginem!! Zmieniam dostawcę ale proszę ostrzec ludzi.
Zarejestrowałem sie kiedyś na http://www.omegajantar.pl po rejestracji oraz zmianie hasła dostajemy e-maila z loginem i hasłem
Tymczasem ja mam bekę z pesudoeksperów. Solenie haseł przy przechowywaniu ich w cookies nic nie daje, po za tym, że piana schodzi z ust hakerskiej gimbazie.
Sklep z artykułami medycznymi novamed.pl wysyła hasło mailem w plaintext po rejestracji